Podstawy przetwarzania danych osobowych w badaniach klinicznych

Europejska Rada Ochrony Danych (EROD) wydała opinię odnośnie wzajemnych relacji pomiędzy RODO a Rozporządzeniem dotyczącym badań klinicznych (Rozporządzenie nr 536/2014).

Jedną z najistotniejszych kwestii poruszonych w przedmiotowej opinii jest wyjaśnienie i wsparcie w identyfikacji i konstrukcji prawidłowej podstawy prawnej przetwarzania danych osobowych w badaniu klinicznym.

Czynności przetwarzania i ich podstawy

Zgodnie z opinią w czasie trwania badania klinicznego, tj. przez cały okres objęty protokołem badania, mamy co do zasady do czynienia z tzw. „pierwotnym wykorzystaniem” danych osobowych, a w jego ramach mamy do czynienia przede wszystkim z dwoma rodzajami czynności przetwarzania: związanymi bezpośrednio z działalnością badawczą oraz związanymi z szeroko rozumianą ochroną zdrowia, w szczególności związanymi z ustalaniem i podnoszeniem standardów opieki zdrowotnej, bezpieczeństwa i wiarygodności pozyskiwania danych.

Cele badawcze

W ocenie EROD przetwarzanie danych dla celów badawczych w ramach badania klinicznego nie może wynikać z obowiązku prawnego i co do zasady podstawą przetwarzania powinna być wyraźna zgoda osoby, której dane dotyczą wyrażona w sposób dobrowolny. Należy pamiętać, że przy przetwarzaniu danych osobowych wrażliwych niezbędna jest „wyraźna zgoda”.

Ponadto autorzy interpretacji wskazują, że nie należy łączyć świadomej zgody na udział w badaniu klinicznym (ICF) ze zgodą na przetwarzanie danych osobowych wrażliwych. Celem świadomej zgody jest przede wszystkim zapewnieniu ochrony prawa do godności ludzkiej i prawa do integralności osoby zgodnie z Kartą praw podstawowych UE i co do zasady taka zgoda nie jest instrumentem zapewniającym przestrzeganie przepisów o ochronie danych osobowych.

Istotnym elementem każdej zgody na przetwarzanie danych osobowych jest jej „dobrowolność”. Brak dobrowolności skutkuje tym, że taka zgoda nie może być podstawą przetwarzania danych osobowych (obowiązek oceny czy zgoda w danej sytuacji spełnia wymogi przepisów RODO ciąży na administratorze).

Czynności związane z szeroko rozumianą ochroną zdrowia

Czynności przetwarzania danych związane z szeroko rozumianą ochroną zdrowia znajdują swoją podstawę jako przetwarzanie niezbędne do wypełnienia obowiązku prawnego spoczywającego na administratorze.

Jednocześnie EROD odwołuje się do stanowiska Grupy Roboczej Art. 29 (W29), w której wyjaśniono, że powoływać się na obowiązek prawny można tylko, gdy mamy stosowną podstawę w prawie krajowym lub innym prawie znajdującym zastosowanie, np. podstawa obowiązku przechowywania danych z badania klinicznego przez 25 lat wynika z Rozporządzenia 536/2014*.

W takim kontekście w odniesieniu do danych wrażliwych EROD wskazuje, że przetwarzanie będzie niezbędne ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego m.in. przez zapewnienia wysokich standardów jakości i bezpieczeństwa opieki zdrowotnej czy produktów leczniczych.

Podsumowując: EROD w swojej opinii wymieniła wiele istotnych wskazówek odnoszących się do podstaw przetwarzania danych osobowych w badaniach klinicznych, każdorazowo administrator danych lub współadministratorzy powinni ustalać właściwą konstrukcję podstawy przetwarzania danych osobowych w oparciu o właściwe przesłanki prawne. Naruszenie przepisów w zakresie podstawy przetwarzania danych osobowych zagrożone jest najwyższymi sankcjami przewidzianymi przez RODO (w przypadku przedsiębiorstwa 20 mln EUR albo 4% obrotu światowego – przy czym zastosowanie ma kwota wyższa).

*Przewidywany termin stosowania Rozporządzenia 536/2014 to początek 2020 r.

Źródło: opinia EROD z dnia 23 stycznia 2019 r.